病毒大百科

这是一个下载者木马。它采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动，它会隐藏“Windows文件保护”的对话框窗口，并修改系统时间为2001年，导致依赖时间进行激活的杀毒软件失效。最后下载一个病毒列表，根据该列表下载木马到本机并运行。

1.程序运行之后会首先调用GetModuleFileNameA获取自己的完整路径以得到自身的文件名。
2.判断自己的文件名是否为下面几个文件中的一个
conime.exe，internat.exe，ctfmon.exe，explorer.exe
3.调用GetFileAttributes判断%systemRoot%\system32\dllcache中同名的文件是否存在，如果存在则调用WinExec将%systemRoot%\system32\dllcache中对应的程序调用启动。

4.创建线程，调用FindWindowA循环查找窗口。如果找到WindowsName为"Windows文件保护"，WindowsClass名为"#32770"的窗口则调用ShowWindow隐藏该窗口。

6.连接http://down.*****.cn/down.txt
下载一个文本，该文本为要下载的病毒列表
而后该程序会按照该列表中的网址下载病毒并运行。

7.根据自身版本号判断自己在网上是否有新版本，如果有新版本的话则下载并运行。